Microsoft adopte une nouvelle approche pour renforcer la sécurité des comptes en ligne en rendant la connexion sans mot de passe la méthode par défaut pour les nouveaux utilisateurs. Cette initiative s’inscrit dans un mouvement plus large de l’industrie technologique visant à éliminer les mots de passe, sources fréquentes de vulnérabilités et de coûts importants pour les entreprises et leurs clients.
La montée en puissance des passkeys
Au cœur de cette stratégie « sans mot de passe par défaut », Microsoft encourage l’adoption des passkeys, une alternative innovante aux mots de passe traditionnels. Développées en collaboration avec des géants comme Google, Apple et de nombreuses autres entreprises sous l’égide de la FIDO Alliance, ces passkeys promettent une authentification plus simple et plus sûre.
Microsoft prévoit désormais que les nouveaux utilisateurs utilisent par défaut cette méthode pour se connecter. Pour les utilisateurs existants, une invitation à enregistrer une passkey apparaîtra lors de leur prochaine connexion, favorisant ainsi une transition progressive.
Les enjeux liés aux mots de passe traditionnels
Le passage aux passkeys répond à plusieurs problématiques majeures liées aux mots de passe. La création et la gestion de mots de passe longs, complexes et uniques à chaque compte représentent une lourde tâche pour les utilisateurs, qui aboutit souvent à des choix faibles ou à la réutilisation de mots de passe.
De plus, les fuites de mots de passe restent un problème récurrent, exposant les comptes à des risques importants. Les attaques par « password spraying », consistant à tester des mots de passe faibles sur un grand nombre de comptes, se sont intensifiées ces dix dernières années, compromettant parfois des réseaux sensibles, y compris ceux de Microsoft.
Les limites de l’approche sans mot de passe
Cependant, un détail important a été omis dans l’annonce de Microsoft : même après la création d’une passkey, les utilisateurs ne peuvent véritablement abandonner le mot de passe qu’après avoir installé l’application Microsoft Authenticator sur leur téléphone. Cette décision exclut la compatibilité avec d’autres applications populaires comme Authy ou Google Authenticator, ce qui peut représenter une contrainte pour certains utilisateurs et nuire à la promesse marketing de la connexion sans mot de passe par défaut.
Il est également précisé que l’utilisation de Microsoft Authenticator n’est pas obligatoire pour créer une passkey, mais sans cette application, les utilisateurs ne pourront pas se débarrasser complètement de leur mot de passe. La persistance d’un mot de passe associé au compte affaiblit alors considérablement les avantages en termes de sécurité offerts par les passkeys.